Был дц1 с самбой и bind9_dlz, как-то работало, жалоб не было. Был введен в домен дц2, с дц1 были переданы FSMO, все без проблем перешло к дц2. Проверки наподобие nslookup -type=SRV _ldap._tcp.domain.loc 127.0.0.1 dig _ldap._tcp.domain.loc SRV @127.0.0.1 host -t SRV _kerberos._udp.domain.loc host -t SRV _ldap._tcp.domain.loc ошибок не выдает. Есть проблема с обновлениями dns-записей: Dec 12 09:31:25 dc2 named[66920]: client @0x7fa79c09f4f8 192.168.10.189#51635: update ‘domain.loc/IN’ denied

Dec 12 09:05:49 dc2 named[66920]: client @0x7fa79c0c4548 192.168.2.185#63330/key TECHNOLOGIST-01$@DOMAIN.LOC: updating zone ‘domain.loc/NONE’: update failed: rejected by secure update (REFUSED)

Dec 11 17:48:25 dc2 named[46798]: client @0x7fa5e40f50f8 192.168.2.173#49254: request has invalid signature: TSIG 1984-ms-7.3-2f2ae6c.da76df23-b74a-11ef-80c5-a0b3399f4d17: tsig verify failure (BADKEY)

Грешу на dns.keytab, вот оно:

1. ktutil: rkt /var/lib/samba/private/dns.keytab
2. ktutil: list
3. slot KVNO Principal

4. 1 2 dns-dc2@DOMAIN.LOC
5. 2 2 dns-dc2@DOMAIN.LOC
6. 3 2 dns-dc2@DOMAIN.LOC
7. 4 2 DNS/dc2.domain.loc@DOMAIN.LOC

Не пойму, что с этим делать? дц1 из домена выведен и убит.